Entenda papel de responsabilidade compartilhada; compreenda como arquitetura afeta a vulnerabilidade e verifique se as ferramentas estão corretas
As violações de dados estão em alta por conta dos recentes anúncios de massivos vazamentos de informações e a nova regulamentação europeia (GDPR) de proteção de privacidade e a versão brasileira, chamada Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020. Embora as histórias de grandes casos ganhem maior destaque, é importante saber que a apropriação de dados alheios são comuns e que erros aparentemente simples podem deixar as empresas expostas. Por isso, elas precisam estar atentas às vulnerabilidades.
Especialistas identificaram as raízes da vulnerabilidade de dados como, por exemplo, servidores mal configurados na nuvem, o que pode parecer estranho, mas é bastante comum. No relatório Cloud Adoção da Nuvem e Risco 2019, a McAfee aponta que “as organizações têm, em média, pelo menos 14 instâncias de IaaS (Infraestrutura como Serviço) mal configuradas em algum momento”, além de apontar uma média de 2.200 incidentes de configuração por mês, colocando toda organização em risco. Na lista abaixo, a Pegasystems, empresa de software que impulsiona a transformação digital, listou três dicas para ajudar a manter os dados seguros:
A responsabilidade compartilhada é o ponto principal dentro do modelo de negócios Software as a Service (SaaS) e a função que sua organização desempenha na proteção de aplicações baseadas em nuvem é altamente dependente dos tipos de serviço que você usa para a implementação na nuvem. O SaaS tem menor impacto no cliente, mas sua equipe é responsável pelo acesso ao sistema e pelo nível de permissão. Já ao migrar para a plataforma como serviço (PaaS), você está gerenciando os usuários e desenvolvedores. Finalmente, com Infraestrutura como Serviço (IaaS), sua responsabilidade se estenderá à segurança de rede e à plataforma. Essa é a arena em que os servidores mal configurados são de responsabilidade direta de seus proprietários, e não do seu provedor de serviços. Compreender esses modelos permitirá confirmar se os seus provedores de serviços estão provisionando novos servidores e adicionando escala, enquanto limitam o risco de uma instância mal configurada.
Se você estiver gerenciando a infraestrutura por conta própria, revise seus processos e automação para não cometer os erros mais comuns:
A arquitetura em nuvem continua avançando para permitir o uso de recursos sob demanda por meio de tecnologias como contêineres e computação sem servidor. Mas essas ainda são tecnologias relativamente novas e ainda existe uma base significativa de máquinas virtuais em uso no mundo. Nos próximos anos, continuaremos a operar em ambientes que misturam essas tecnologias de nuvem. Apressar a migração para novas formas de arquitetura em nuvem não elimina o risco de vulnerabilidade por meio de configurações incorretas. O desenvolvimento de centros de excelência em torno de sua plataforma de infraestrutura de escolha ou a parceria com provedores de serviços que podem documentar controles é fundamental para o emprego seguro de tecnologias em nuvem.
As pessoas estão no centro das violações. Para detê-las, a configuração dos controles de segurança que permitem acesso é a primeira linha de defesa. As ferramentas e os procedimentos de gerenciamento de identidade e acesso (IAM) são críticos para esse esforço. Eles não só configuram controles de acesso ao provisionar novos recursos na nuvem, mas também gerenciam acessos durante a vida útil do recurso. A incorporação de recursos como autenticação multifatorial, fortalece os controles de acesso para manter os sistemas acessíveis apenas a usuários autorizados.
Além disso, há várias ferramentas que você pode empregar para gerenciar a escala e serviços que validam a configuração das características da nuvem e acompanhar o desempenho e o acesso. Verifique se suas ferramentas de monitoramento abrangem as camadas física, de rede e lógica de sua plataforma. Muitas ferramentas para monitorar a vulnerabilidade na camada física procuram problemas na configuração de servidores e redes.
*Roberta Cadastro é executiva de Desenvolvimento de Negócios da Pegasystems Brasil
